ПОЛИТИКА БЕЗОПАСНОСТИ
О ЗАЩИТЕ ЛИЧНЫХ ДАННЫХ В ОТНОШЕНИИ ИХ ОБРАБОТКИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ, УПРАВЛЯЕМЫХ КОМПАНИЕЙ
«INFOTURISM GRUP» SRL (ООО)

I. Преамбула
В международных документах реализованы принципы, предусмотренные в международных документах: Всеобщая декларация прав человека, Конвенция о защите прав человека и основных свобод, Конвенция о защите частных лиц в отношении автоматической обработки персональных данных, Директива 95/46 / ЕС Европейского Парламента и Совета по защите физических лиц в отношении обработки персональных данных и свободного перемещения таких данных, а также в национальных документах – Конституции Республики Молдова, Закона о защите персональных данных, Закона о доступе к информации , Требования к обеспечению безопасности персональных данных в отношении их обработки в информационных системах персональных данных, утвержденные Постановлением Правительства № 1123 от 14 декабря 2010 года, Положение о Регистре оператора персональных данных, утвержденное Постановлением Правительства № 296 от 15 мая 2012 года и других законодательных / нормативных документах в области обработки персональных данных внутри компании.

II. Введение
Компания ООО «INFOTURISM GRUP» имеет зарегистрированный офис в Республике Молдова, городе Кишинэу, ул. А. А. Пушкина, 24.

Политика была одобрена руководством указанной компании, которая действует в соответствии с законодательством.

Настоящая Политика утверждена, в том числе, что оператор соответствует Решению Правительства Республики Молдова №123 от 14 декабря 2010 года «Об утверждении Требования в отношении обеспечения безопасности персональных данных, их обработки в информационных системах персональных данных» и Закон Республики Молдова №133 от 08.07.2011 г. «Об охране персональных данных».

III. ОПРЕДЕЛЕНИЯ
Для целей настоящей Политики безопасности используются следующие определения:

личные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»). Определяемым является лицо, которое может быть идентифицировано прямо или косвенно, в частности, путем ссылки на идентификационный номер или на один или несколько факторов, характерных для его физической, физиологической, умственной, экономической, культурной или социальной идентичности;

специальные классы персональных данных – данные, раскрывающие расовое или этническое происхождение человека, его политические, религиозные или философские мнения, социальную идентичность, данные о его состоянии здоровья или сексуальной жизни, а также данные, относящиеся к уголовным наказаниям, административным штрафам или ограничениям;

контролер данных – физическое или юридическое лицо, государственная власть, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; где цели и средства обработки определяются национальными законами или правилами;

процессор – физическое или юридическое лицо, государственная власть, агентство или любой другой орган, который обрабатывает личные данные от имени контроллера;
аутентификация – проверка идентификатора, назначенного субъекту доступа, подтверждение подлинности;

контроль безопасности – действия, предпринимаемые руководством компании для обеспечения надлежащего уровня безопасности персональных данных в рамках имеющихся информационных систем и / или регистров;

временные файлы – данные или информация о долговечном носителе, созданные на ограниченный отрезок времени, до тех пор, пока задачи, для которых они были разработаны – выполнены;

идентификация – присваивание идентификатора для доступа к предметам и объектам и / или сравнение идентификатора, предоставленного с указанным списком присвоенных идентификаторов;

целостность – достоверность, бесконфликтность и актуальность информации, содержащей персональные данные, ее защиту от уничтожения и несанкционированное изменение;

средства криптографической защиты информации, содержащей персональные данные – технические средства, программные, технические и прикладные средства, системы и комплекты систем, реализующих алгоритмы криптографического преобразования информации, содержащей персональные данные, предназначенные для обеспечения целостности и конфиденциальности информации при ее обработке, хранении или передаче через средства связи;

уровень защиты – уровень безопасности, пропорциональный риску, который влечет обработка соответствующих персональных данных, а также прав и свобод этих лиц, которая разработана и обновлена ​​надлежащим образом до уровня развития технологий и затрат на осуществление этих мер;

политика безопасности персональных данных – документ, разработанный оператором данных – Infoturism Grup LLC, который точно описывает меры безопасности и функции защиты, выбранные для защиты данных, с учетом потенциальных угроз для обработки персональных данных и реальных рисков, которым они подвергаются;

область безопасности – область, которая фактически является препятствием, обеспечиваемым посредством физического и / или технического контроля доступа;

лицо, отвечающее за политику безопасности персональных данных – лицо, ответственное за надлежащее функционирование сложной системы защиты информации, содержащей персональные данные, и отвечающее за разработку, осуществление и контроль соблюдения требований политики безопасности персональным хранителем данных;

защита информации от непреднамеренных действий – меры, направленные на предотвращение непреднамеренных действий, вызванных ошибками пользователя, поломкой технических и аппликативных средств, природных явлений или других, которые напрямую не намерены менять информацию, но приводят к искажению, уничтожению, копированию , блокированию доступа к информации и ее утрату, уничтожение или сбой настроек информации, содержащей персональные данные;

носитель персональных данных – любой магнитный, оптический, лазерный, бумажный носитель или другой информационный носитель, на котором создается документ, сохраняется, отправляется, принимается, или иным образом используется и позволяет его воспроизведение;
восстановление данных – процедуры восстановления / предварительной установки персональных данных, в том же формате как до того как данные были потеряны или уничтожены;

информационные технологии – все методы, процедуры и средства обработки или передачи информации, содержащей персональные данные и правила ее осуществления;

пользователь – лицо, действующее под руководством владельца личных данных, обладающее признанным правом доступа к информационным системам персональных данных;

рабочая сессия – период, продолжающийся с момента запуска компьютера и использования информационного ресурса, или с момента запуска информационного ресурса до его закрытия;

информационная система персональных данных – все взаимозависимые информационные ресурсы и технологии, методы и персонал, предназначенные для хранения, обработки и предоставления информации, содержащей персональные данные;

обработка персональных данных – любая операция или набор операций, которые выполняются с персональными данными, посредством автоматических систем, такими как сбор, регистрация, организация, хранение, адаптация или изменение, извлечение, консультации, использование, раскрытие посредством передачи, распространение или предоставление доступа иным образом, центровка или комбинация, блокирование, стирание или уничтожение;

хранение – хранение персональных данных на любом типе среды;

система регистрации персональных данных – любая серия структурированных персональных данных, доступная по некоторым конкретным критериям, либо централизованная, децентрализованная, либо распределенная на основе конкретных операционных или географических критериев;

согласие субъекта данных – любое проявление свободной воли, выраженное и безоговорочное, осуществленное в письменной или электронной форме в соответствии с требованиями электронного документа, посредством которого субъект персональных данных соглашается обрабатывать свои персональные данные;

деперсонализация данных – изменение персональных данных, с тем чтобы детали личных или материальных обстоятельств больше не относились к идентифицированному физическому лицу, или допущение их присуждения только в условиях расследования, требующего непропорционального времени, ресурсов и затрат на рабочую силу.

IV. Цели политики безопасности
Основными целями Политики являются доступность, целостность и конфиденциальность всей информации, в том числе персональных данных, обрабатываемых Infoturism Grup ООО, как при ручной обработке, так и в информационных технологических системах и процессах. Безопасность является важным компонентом оптимального развития процессов на базе ИТ в Infoturism Grup ООО. Соблюдение этой политики закладывает основу для соответствующей ИТ-безопасности. Он включает требования и правила для защиты всей информации, в том числе персональных данных, ИТ-систем и процессов против естественных воздействий, человеческих и технических ошибок и против преднамеренных действий, которые могут нанести материальный и нематериальный ущерб или могут привести к нарушениям закона. При условии, что безопасность ИТ не может быть предоставлена ​​исключительно некоторыми техническими системами, эта политика также охватывает организационные и юридические вопросы и любой другой тип.
Infoturism Grup ООО защищает персональные данные как участников процесса / посетителей, так и их сотрудников.
Положения настоящей Политики считаются минимальным стандартом для Infoturism Grup ООО, включая персонал компании. Согласно этим Правилам, все сотрудники ООО «Инфотуризм Груп» должны строго соблюдать положения Политики и внутренние правила защиты персональных данных и ИТ-систем, разработанных указанной компанией.

V. Инструкции по иерархии и обязанностям лица, ответственного за политику безопасности

Оператор персональных данных, определяющий специфику деятельности в рамках этой Политики безопасности, переносит процедуры и меры, необходимые для обеспечения адекватного уровня защиты для обработки персональных данных в управляемых системах учета.

Политика безопасности персональных данных должна пересматриваться не реже одного раза в год после изменений и переоценки компетенций организации, которая находится под ответственностью менеджеров, назначать лицо, которое должно корректировать положения этого документа.

Политика безопасности обязательно будет доведена до сведения всех сотрудников, ответственных за обработку персональных данных, до предоставления доступа к обработке персональных данных, включая работу с изменениями, с необходимостью обеспечения адекватного уровня защиты личных данных.

Лицо, ответственное за осуществление и контроль за соблюдением положений политики безопасности данных, назначается на основе описания должностных обязанностей и / или внутреннего заказа, которому будут предоставлены достаточные ресурсы (время, людские ресурсы, оборудование и бюджет) и имеют свободный доступ к информации, необходимой для выполнения своих обязанностей в рамках этой политики.

Лицо, назначенное независимо от обязанностей, выполняемых во время мониторинга, выполнения / соблюдения положений политики безопасности, подчиняется директору Infoturism Grup или временному директору.

Лицо, ответственное за политику безопасности персональных данных, должно четко определить обязанности, связанные с безопасностью обработки данных (профилактика, наблюдение, обнаружение и обработка), а также их деятельность вне влияния личных интересов или других обстоятельств.

Это лицо четко определяет обязанности и процессы управления безопасностью данных, путем их интеграции в организационную структуру и общее функционирование, вырабатывает технические и организационные меры, необходимые для управления безопасностью данных, разрабатывает процедуры классификации информации, содержащей персональные данные, чтобы можно было составить классификацию и все данные, которые были обработаны для размещения, независимо от типа носителя данных, это лицо должно обучать людей, участвующих в обработке данных, выполнять свои обязанности и брать на себя ответственность за данные включая их конфиденциальность.

VI. Средства, подпадающие под принципы защиты данных
Защита персональных данных в Infoturism Grup LLC (как обработчика данных) предоставляется за счет более технических и организационных мер по предотвращению незаконной обработки данных.
Под защитой через определенные средства / методы должны пройти все управляемые информационные ресурсы процессора, которые включают персональные данные и хранятся на:
– магнитной, оптической, лазерной среде или другом электронном информационном носителе, информационных базах и базах данных;
информационных системах, сетях, операционных системах, системах управления базами данных и других приложениях, телекоммуникационных системах, включая средства разработки и умножения документов и других технических средств для обработки информации.

VII. Предусмотренные меры по защите персональных данных:
– для предотвращения утечки информации, содержащей персональные данные, методом исключения несанкционированного доступа к ней;
– предотвращать уничтожение, модификацию, копирование, несанкционированную блокировку персональных данных в телекоммуникационных сетях и информационных ресурсах;
– недопущение стороннего раскрытия информации с ограниченной доступностью;
– оптимизировать информационные ресурсы как на бумажных, так и на электронных носителях.

VIII. Защита данных, обрабатываемых в информационных системах, осуществляется с помощью следующих методов:
– предотвращая несанкционированные подключения к телекоммуникационным сетям и перехват с помощью технических средств персональных данных, передаваемых через эти сети;

– исключая несанкционированный доступ к обрабатываемым данным,

– предотвращая специальные технических и программных действий, которые обусловливают уничтожение, модификацию данных или отказ в работе технического и программного комплекса действий,

предотвращая преднамеренные и / или непреднамеренные действия со стороны внутренних и / или внешних пользователей и других членов оператора / лиц, уполномоченных оператором, которые обусловливают уничтожение, изменение персональных данных или сбои в работе технического и программного комплекса,

предотвращая утечки информации, содержащей персональные данные, отправленные по каналам связи, которое должно предоставляться с использованием кодирования этой информации и с использованием VPN,

предотвращая разрушения, модификации данных или сбои в функционировании программного обеспечения, предназначенного для обработки персональных данных.Это должно быть обеспечено на основе метода использования специальных технических средств и средств защиты программ, включая лицензированные программы, антивирусные программы, организацию системы контроля безопасности софта и регулярных копий безопасности,

– предотвращая утечку информации, содержащей персональные данные, путем проведения внутреннего аудита информационной системы на постоянной основе.

устанавливая точный порядок доступа к информации, содержащей персональные данные, обрабатываемые информационными системами и системами регистрации, как для внутренних пользователей, так и для внешних пользователей.

IX. Организационные и технические процедуры, которые должны соблюдаться ООО «Инфоуризм Груп» при обработке персональных данных
1. Общие меры по управлению информационной безопасностью
a) Если носитель информации на бумажных и электронных (цифровых) носителях, содержащих персональные данные, не используется в настоящем моменте, они должны храниться в сейфах или в металлических шкафах.

б) Компьютеры, терминалы доступа и принтеры должны быть отключены при завершении рабочего сеанса.

в) Обеспечивается безопасность пунктов доставки / получения почты и защита от несанкционированного доступа к факсимильным и копировальным устройствам.

г) Обеспечивается безопасность и физический доступ к средствам представления информации, содержащей персональные данные, предназначенные для предотвращения ее визуализации посторонними лицами.

д) Устройства для обработки данных, информация, содержащая персональные данные или программы, предназначенные для обработки таких данных, могут быть выведены из зоны безопасности, если письменное разрешение от руководства было выпущено.

е) Все программы, используемые в компьютерной системе, должны отвечать требованиям авторизации.

ж) Запрещается устанавливать программы типа Shareware или freeware, без одобрения администратора компьютерной системы.

2. Безопасность физической среды и информационных технологий, используемых при обработке данных
а) Доступ к помещениям / офисам или местам, где установлены информационные системы персональных данных, ограничен, разрешается только лицам, уполномоченным соответствующим образом, в соответствии с перечнем или соответствующими документами (бейдж, удостоверениями личности).

б) Физический доступ должен контролироваться во всех точках доступа к информационным системам персональных данных, включая действия, предпринятые в случае нарушения режима доступа.

в) Зона безопасности Infoturism Grup – это фактически офисы, в которых персональные данные обрабатываются / хранятся.

г) Площадь здания или помещений, где расположены средства обработки данных, должна быть вертикально с физической точки зрения, внешние стены помещений должны быть устойчивыми, а входы должны быть оборудованы замками и сигнальной лампой.

д) Расположение средств обработки данных должно соответствовать необходимости обеспечения их безопасности от несанкционированного доступа, кражи, пожара, наводнения и других возможных рисков.

е) Двери и окна должны быть заперты, если в комнате нет сотрудника.

ж) Компьютеры, серверы и другие терминалы доступа должны располагаться в местах с ограниченным доступом для посторонних лиц.

з) Доступ в зону безопасности здания Infoturism Grup, где персональные данные обрабатываются / хранятся с помощью несанкционированного фото / видеооборудования запрещается, принимая во внимание необходимость обеспечения режима безопасности и конфиденциальности обработки данных, предусмотренных в данной области в статьях 29 и 30 Закона о защите данных, а также в пункте 26 Требования.

и) Использование фото, видео, аудиооборудования или других устройств для записи допускается только с помощью специального разрешения, выданного руководством.

3. Идентификация и аутентификация пользователей
а) Пользователи информационных систем персональных данных и процессов, выполняемых от их имени, должны идентифицировать себя и аутентифицироваться.

б) Все пользователи (включая персонал, предоставляющий техническую поддержку, сетевые администраторы, программисты и администраторы баз данных) имеют персональный идентификатор (идентификатор пользователя), который не включает данные об уровне доступности пользователем.

в) Для проверки идентификатора пользователя используются пароли, физический токен или микропроцессорные карты, средства биометрической аутентификации на основе уникальных и индивидуальных особенностей человека.

г) Если контракты на работу / обслуживание пользователя были прекращены, приостановлены или изменены, а новые задачи не требуют доступа к личным данным или были изменены права доступа пользователя или пользователь злоупотреблял полученными кодами для совершения вредного действия, отсутствовал в течение длительного периода времени, коды идентификации и аутентификации должны быть отменены или приостановлены администратором ИТ.

4. Идентификация и аутентификация оборудования
Можно идентифицировать и аутентифицировать оборудование, используемое в операциях обработки персональных данных, при сохранении этой информации в течение длительного периода времени.

5.  Управление идентификаторами пользователей
Управление идентификаторами пользователей включает в себя:
– идентификация каждого пользователя,
проверка подлинности каждого пользователя.

6. Использование паролей в процессе обеспечения информационной безопасности
Правила обеспечения информационной безопасности соблюдаются при выборе и использовании паролей, которые включают:
– сохранение конфиденциальности паролей,
– запрет регистрации паролей на бумаге, если безопасность его хранения не обеспечивается,
– изменение паролей каждый раз, когда есть подсказки о возможном компрометации вашей системы или пароля,
– выбор качественных паролей с минимум 8 символами, не относящимися к личной информации пользователя, не содержит последовательных идентичных символов и не состоят целиком из групп цифр или букв,
– изменение паролей в течение трехмесячных интервалов,
отключение автоматического процесса записи (используя сохраненные пароли).

7. Управление доступом
Выполняется систематический контроль действий пользователя для оценки правильности и соответствия операций и действий, выполняемых с помощью персональных информационных систем.

8. Удаленный доступ
А) Все методы удаленного доступа к персональным информационным системам защищены (с использованием VPN, шифрование и т. д.), А также документируются, подлежат мониторингу и контролю.
Б) Каждый метод удаленного доступа к персональным информационным системам уполномочен ответственными лицами Infoturism Grup SRL и разрешен только тем пользователям, которым необходимо выполнить поставленные цели.

9. Ограничение использования беспроводных технологий
а) Беспроводной доступ к персональным информационным системам ограничен максимальным обьразом, документированным, подлежащим мониторингу и контролю.
б) Беспроводной доступ к персональным информационным системам разрешен только при использовании криптографической информации.
в) Использование беспроводных технологий разрешено ответственными лицами «Infoturism Grup» SRL.

10. Безопасность питания
а) Электрическое оборудование, используемое для поддержания функциональности персональных информационных систем, электропроводки защищено от повреждений и несанкционированных соединений путем установки их в специальные ниши.

б) В случае исключительных, аварийных или форс-мажорных обстоятельств, можно отключить электричество от персональных информационных систем, в том числе возможность отключения любого ИТ-компонента.

в) Автоматизированные системы обнаружения пожара применяются в офисах, где расположены персональные информационные системы и средства обработки персональных данных.

11. Проверка установки и удаления IT-компонентов.
а) Программные средства, технические средства и технические программы, используемые в информационных системах данных, должны быть проверены и записаны.

б) Информация, содержащая персональные данные и сохраненная на носителе данных, должна быть уничтожена физически или должна быть расшифрована и уничтожена безопасными методами, избегая использования стандартных методов уничтожения.

12. Раскрытие личных данных
a) Раскрытие электронного формата персональных данных, содержащихся в системах записи, сетях связи или другой цифровой поддержке хранения, обеспечивает шифрование этой информации или рассмотрение возможности использования защищенного канала VPN. Беспроводной доступ к системам записи персональных данных разрешен только авторизованным пользователям. Каждый случай запроса раскрытия путем передачи персональных данных электронными средствами будет рассматриваться отдельно, с учетом технических возможностей, предоставляемых получателем и оператором, а также в соответствии с организационными и техническими мерами, осуществляемыми сторонами. Если сети связи создают риск для конфиденциальности и безопасности персональных данных, будут использоваться традиционные методы передачи (почтовые услуги с рекомендованным одобрением, личная доставка и т. д.).

б) Раскрытие путем передачи персональных данных через несовместимые сети связи (например: отправка информации через личные электронные письма, такие как @ gmail.com, @ mail.ru, @ yahoo.com и т. д. .) запрещены.

в) Раскрытие персональных данных между «Infoturism Grup» SRL и другими лицами, географически расположенными на левом берегу Днестра, которое отказывается соблюдать законодательство Республики Молдова, запрещено на том основании, что на данный момент нет возможности осуществлять контроль эффективно на этой части территории, включая часть, касающуюся соответствия обработки персональных данных положениям Закона о защите персональных данных.

г) Процедура раскрытия личных данных, хранящихся на бумажной и / или цифровой основе, за пределами Республики Молдова, регулируется институциональным / двусторонним соглашением с учетом необходимости обеспечения адекватного уровня защиты личных данных.

д) Трансграничная передача персональных данных осуществляется в строгом соответствии с положениями ст. 32 Закона об охране персональных данных, особенно в тех случаях, когда международный договор, по которому осуществляется передача, не содержит каких-либо гарантий в отношении защиты прав субъекта персональных данных.

е) Объем и категории персональных данных, собираемых для записи «Infoturism Grup» SRL, ограничиваются тем, что строго необходимо для достижения заявленных целей.

ж) Доступ к информационным системам, управляемыми компанией Infoturism Grup SRL со стороны Генеральной прокуратуры (в зависимости от обстоятельств могут быть территориальные / специализированные прокуратуры), Министерства внутренних дел, Национальным антикоррупционным центром и т. д., разрешается только в том случае, если запрос соответствует положениям статьи. 15 и ст. 212 Уголовно-процессуального кодекса.

Объясняется, что в соответствии с положениями ст. 157 Уголовно-процессуального кодекса документы в любой форме (письменные, аудио-, видео-, электронные и т. Д.), которые исходят от официальных физических или юридических лиц, если они раскрыты, или определенные обстоятельства, которые являются важными по этому делу (включая информацию, хранящуюся при проверке систем информации и фактических данных), может запрашиваться органом уголовного преследования в ходе уголовного расследования или судебного разбирательства по делу. В этом случае, однако, положения статьи 214 Уголовно-процессуального кодекса предусматривают, что в ходе уголовного судопроизводства никакая официальная информация с ограниченной доступностью не может управляться, использоваться и распространяться без необходимости. Лица, которым орган уголовного преследования или суд просит их сообщить или предоставить официальную информацию с ограниченной доступностью (включая операторы персональных данных), имеют право убедить их в том, что эти данные собираются для соответствующего уголовного разбирательства, а в противном случае отказываются сообщать или отправлять данные. Лица, которым орган уголовного преследования или суд просит их сообщить или предоставить официальную информацию с ограниченной доступностью, имеют право на получение от лица, запрашивающего информацию, письменного объяснения, подтверждающего необходимость предоставления указанных данных.
Следует учитывать тот факт, что в соответствии со статьей 8 Закона о доступе к информационным данным, считающиеся официальной информацией с ограниченной доступностью, доступ к такой информации осуществляется в соответствии с законом о защите данных.
Если адвокат или уполномоченное лицо просит ознакомиться с персональным файлом клиента, он должен быть проинформирован в письменной форме об обязательствах, принятых в соответствии со статьей 15 Уголовно-процессуального кодекса, статьями 29 и 30 Закона о защите данных, в том числе ответственность, изложенная в статье 741 Административного кодекса.

13. Права субъектов данных
а) Если персональные данные собираются непосредственно от субъекта данных, в соответствии со статьей 12 Закона о защите персональных данных, требуется человек, которому вы предоставили следующую информацию, за исключением случаев, когда он уже имеет эту информацию :

– личность оператора или, в случае необходимости, оператор уполномоченного лица (наименование, юридический адрес, IDNO, регистрационный номер в реестре операторов персональных данных);
– с конкретной целью обработки собранных персональных данных;
– получателям или категориям получателей персональных данных;
– наличие прав на информацию и доступ к собранным данным; изменять данные (в частности, исправлять, обновлять, блокировать или удалять данные, обработка которых противозаконна из-за того, что они являются неполными или неточными), чтобы противостоять, а также условия, при которых эти права могут быть осуществлены; если ответы на вопросы, на основании которых собираются данные, являются обязательными или добровольными, включая возможные последствия, если они отказываются отвечать на соответствующие вопросы.
б) субъекту персональных данных гарантируется право доступа и возможность ознакомиться с документами, с целью проверки правильности их создания, оспаривая против невключения или включения неверных данных и против других ошибочных данных.
В этом контексте лица, ответственные за обработку данных, предоставляют этому лицу доступ только к своим данным, исключая возможность консультировать другие данные, включенные в их файлы (другие документы), за исключением случаев, когда заявители выполняют одно из их законных интересов, которые не наносят ущерба интересам или правам / основным свободам субъектов данных.

с) Право на информацию обеспечивается оператором персональных данных (или организациями, обеспечивающими обслуживание системы или предоставляющими услуги стороннего поставщика) всем лицам, проходящим обработку.

d) В случае реализации субъекта персональных данных, право на вмешательство, неточные данные будут обновляться по коррекции или удалениям, принимая во внимание только основные правовые источники (удостоверения личности, гражданское состояние, основные государственные информационные ресурсы и т.д. ), модификация должна выполняться во всех системах управляемой информации и записей.

14. Хранение, обслуживание и уничтожение обработанных данных
a) Доступ к помещениям / периметру, на которых расположены информационные системы и личные данные, ограничен, разрешается только лицам, уполномоченным в соответствии с политикой институциональной безопасности / утвержденными ведомственными нормами.
b) хранение и сохранение электронного формата персональных данных, структурированных в системах записи, на компьютерах, подключенных к Интернету, не оснащены специальными средствами технической и программной защиты и не имеют установленных лицензионных программ, антивирусных программ, систем средства защиты программного обеспечения, периодические резервные копии и аудит – запрещены.
c) Запрещается введение в периметр организационной безопасности и использование персональных компьютеров или носителей информации для служебных целей. Кроме того, доступ к конечным точкам защищен / ограничен, создавая профили пользователей, а права администратора доверяются только лицу, ответственному за реализацию указанной политики безопасности «Infoturism Grup» SRL.
d) хранение персональных данных на магнитном, оптическом, лазерном, бумажном или другом носителе информации, на котором документ создается, фиксируется, передается, принимается, сохраняется или иным образом используется, что позволяет его воспроизводить, обеспечиваться их размещением в сейфах или заблокированный металлический шкаф. Запрещается удалять личные носители данных с периметра оператора без разрешения.

15. Аудит управляемых информационных систем
Попытки пользователя ввести / сохранить систему регистрируются по следующим параметрам:
– дата и время входа / пребывания;
– Идентификатор пользователя;
– результат ввода / наличия – положительный или отрицательный.

16. Защита от вредоносных программ (вирусов)
Защита от проникновения вредоносных программ в программы, созданные для обработки данных, предоставляется через лицензированные антивирусные программы.

17. Тестирование функциональных возможностей для обеспечения безопасности персональных информационных систем
Обеспечивается проверка правильности функционирования работ по безопасности персональных информационных систем (автоматическое при запуске системы и ежемесячно по запросу уполномоченного на это пользователя).

18. Управление безопасностью инцидентов
а) Персонал, ответственный за работу информационных систем данных, по крайней мере один раз в год участвует в тренингах по вопросам ответственности и обязанностей при осуществлении управления и действий в случае инцидентов с безопасностью.
б) Персонал Infoturism Grup незамедлительно информирует руководство об инцидентах, нарушающих безопасность информационных систем данных.
в) Обработка включает в себя обнаружение инцидента, анализ, предотвращение развития, их удаления и восстановление безопасности.
г) До 31 января каждого года, оператор персональных данных должен письменно информировать Национальный центр по защите персональных данных Республики Молдовы об инцидентах безопасности.
д) В случае инцидента безопасности, совершенного в ООО «Инфотуризм Групп», ответственное лицо должно принять необходимые меры для поиска источника, проанализировать его и устранить его причины, сообщив в течение 72 часов с момента его появления в Национальный центр данных Защиты Республики Молдова.
е) В ходе проверок, проводимых Национальным центром защиты данных Республики Молдова, ему должна быть обеспечена необходимая поддержка и доступ к данным, имеющим отношение к предмету проверки.

19. Ответственность за обеспечение безопасности персональных данных, а также информации с ограниченной доступностью

Обработчик данных, лицо, уполномоченное обработчиком, третьи лица, в случае необходимости, подписывающие лица, несут гражданскую ответственность (Гражданский кодекс), административно несут ответственность (согласно статье 741 Административного кодекса) и несут уголовную ответственность (согласно статьям 177, 178, 180 Уголовный кодекс) за несоблюдение положений Политики безопасности.

Оператор персональных данных, лицо, уполномоченное оператором, третьи лица, в случае необходимости, подписавшие соглашение, несут гражданскую ответственность (Гражданский кодекс), административную ответственность (согласно статье 741 Административного кодекса) и несут уголовную ответственность (согласно статьям 177, 178, 180 Уголовный кодекс) за несоблюдение положений Политики безопасности.